Cloud Computing Compliance Controls Catalog (C5)

ภาพรวม

แค็ตตาล็อกควบคุมการปฏิบัติตามข้อกำหนดของการประมวลผลบนคลาวด์ (C5) คือโครงการรับรองที่ได้รับการสนับสนุนจากรัฐบาลเยอรมนี ซึ่งเปิดตัวในเยอรมนีโดยสำนักงานรัฐบาลกลางเพื่อการรักษาความปลอดภัยของข้อมูล (BSI) C5 ช่วยให้องค์กรแสดงถึงการรักษาความปลอดภัยในการปฏิบัติงานต่อการโจมตีทางไซเบอร์ทั่วไปเมื่อใช้บริการระบบคลาวด์ภายในบริบทของ "คำแนะนำด้านการรักษาความปลอดภัยสำหรับผู้ให้บริการระบบคลาวด์" ของรัฐบาลเยอรมนี

ลูกค้า AWS และที่ปรึกษาด้านการปฏิบัติตามข้อกำหนดสามารถใช้การรับประกัน C5 นี้ในการทำความเข้าใจการควบคุมการรักษาความปลอดภัยที่ AWS นำมาใช้เพื่อให้เป็นไปตามข้อกำหนด C5 เมื่อตนย้ายเวิร์กโหลดไปยังระบบคลาวด์ C5 เพิ่มระดับ IT-Security ที่กำหนดโดยกฎระเบียบเทียบเท่ากับ IT-Grundschutz โดยมีปัจจัยควบคุมระบบคลาวด์แบบเฉพาะเพิ่มเข้ามา

C5 รวมข้อกำหนดการควบคุมเพิ่มเติมซึ่งเกี่ยวกับสถานที่ตั้งข้อมูล การจัดเตรียมบริการ ขอบเขตอำนาจศาล การรับรองที่มีอยู่ ภาระผูกพันในการเปิดเผยข้อมูล และคำอธิบายแบบครบวงจร เมื่อใช้ข้อมูลนี้ ลูกค้าสามารถประเมินว่าข้อปฏิบัติทางกฎหมาย (เช่น ความเป็นส่วนตัวของข้อมูล) นโยบายของตนเอง หรือสภาพแวดล้อมของภัยคุกคาม มาเกี่ยวข้องกับการใช้บริการการประมวลผลระบบคลาวด์ของพวกเขาได้อย่างไร

  • C5 (Cloud Computing Compliance Controls Catalogue) เป็นมาตรฐาน “IT-Security ด้านการประมวลผลระบบคลาวด์” ในเยอรมนี ออกแบบและจำหน่ายโดย BSI ในเดือนกุมภาพันธ์ 2016 ชุดการควบคุม C5 จะมีการรับประกันเพิ่มเติมให้แก่ลูกค้าในเยอรมนี ขณะที่พวกเขาย้ายปริมาณงานที่ซับซ้อนและมีการควบคุมไปยังผู้ให้บริการ Cloud Computing Service เช่น AWS C5 ครอบคลุมมาตรฐานสากลต่อไปนี้:

    • ISO/IEC 27001:2017 (ISO – International Organization for Standardization)
    • CSA Cloud Controls Matrix 3.01 (CSA - Cloud Security Alliance)
    • AICPA Trust Service Principles Criteria 2017 (AICPA – American Institute of Certified Public Accountants)
    • Trusted Cloud Data Protection Profile (TCDP)  – เวอร์ชัน 1
    • ISO/IEC 27017:2015
    • ISO/IEC 27-18:2014
    • BSI IT-Grundschutz Kompendium – เวอร์ชันปี 2019

  • สำนักงานความมั่นคงทางไซเบอร์แห่งชาติของเยอรมนี "Bundesamt für Sicherheit in der Informationstechnik (BSI)" ได้สร้างมาตรฐาน C5 ขึ้นในปี 2016 BSI นิยามข้อกำหนด IT-Security สำหรับระบบหน่วยงานของรัฐทั้งหมด และบริษัทในเยอรมนีส่วนใหญ่ปรับกลยุทธ์ด้าน IT-Security ของตนให้สอดคล้องกับมาตรฐาน BSI BSI ได้ดำเนินการปรับปรุงแก้ไขและอัปเดตแค็ตตาล็อก C5 ในปี 2019 เวอร์ชันใหม่ (C5:2020) แล้วเสร็จในเดือนมกราคม 2020 

  • รายงาน C5 ให้การรับรองจากองค์กรอิสระภายนอกแก่ลูกค้าในยุโรปของเราเกี่ยวกับความเหมาะสมของการออกแบบและประสิทธิภาพในการดำเนินงานด้านการควบคุมของเรา เพื่อให้เป็นไปตามเกณฑ์พื้นฐานและเกณฑ์อื่นๆ เพิ่มเติมของ C5 โดยเฉพาะอย่างยิ่ง ลูกค้าในเยอรมนีคุ้นเคยกับการมองหาบริการระบบคลาวด์ที่ได้รับการประเมินตามเกณฑ์ C5 C5 จะมอบเฟรมเวิร์กที่เป็นบันทึกข้อมูลระดับ IT-Security ที่เทียบเท่ากับ IT-Grundschutz ซึ่งครอบคลุมประเด็นในทุกๆ ด้านของ IT-Security สำหรับการประมวลผลบนระบบคลาวด์ให้แก่ลูกค้า สำหรับหน่วยงานกำกับดูแลของรัฐบาลกลาง การรับประกัน C5 ถือเป็นข้อกำหนดพื้นฐานในกระบวนการการจัดหา

    ข้อมูลปัจจุบันเกี่ยวกับ C5 ที่ AWS หาอ่านได้ที่โพสต์ C5 ของบล็อกการรักษาความปลอดภัย AWS ที่เกี่ยวข้อง

  • AWS Region ที่อยู่ในขอบเขตสำหรับ C5 ได้แก่ แฟรงเฟิร์ต ไอร์แลนด์ ลอนดอน ปารีส มิลาน สตอกโฮล์ม และสิงคโปร์ รวมถึง Edge Location ในเยอรมนี ไอร์แลนด์ อังกฤษ ฝรั่งเศส และสิงคโปร์

  • บริการของ AWS ที่ครอบคลุมซึ่งอยู่ในขอบข่ายของ C5 อยู่แล้วนั้นได้รับการระบุไว้ในบริการของ AWS ซึ่งอยู่ในขอบข่ายโปรแกรมการปฏิบัติตามข้อกำหนด หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการใช้บริการเหล่านี้และ/หรือสนใจบริการอื่นๆ โปรดติดต่อเรา

  • IT-Grundschutz คือมาตรฐานสำหรับการสร้างและรักษาการปกป้องข้อมูลขององค์กรที่เหมาะสม IT-Grundschutz Catalogues อธิบายการป้องกันสำหรับกระบวนการทางธุรกิจทั่วไป ระบบด้าน IT และแอปพลิเคชัน และกล่าวถึงการป้องกันข้อมูลขององค์กร C5 มอบคำแนะนำเกี่ยวกับข้อเสนอของผู้ให้บริการระบบคลาวด์ (CSP)

  • BSI ปรับงานนี้ให้สอดคล้องกับ ANSSI และ SecNumCloud Label ที่กำลังจะมีขึ้น มาตรฐาน C5 ได้รับอิทธิพลจากและในทางกลับกันก็มีอิทธิพลกับมาตรฐาน SecNumCloud ในฝรั่งเศส ด้วยเป้าหมายที่ชัดเจนในการมีตัวเลือกสำหรับการยอมรับร่วมกันภายใต้ตราร่วมที่เรียกว่า ESCloud นอกจากนี้ European Union Cybersecurity Certification Scheme for Cloud Services (EUCS) ฉบับร่างของ European Union Agency for Cybersecurity (ENISA) นำมาจากมาตรฐานความปลอดภัยของ C5 เป็นส่วนใหญ่

  • ใบรับรองออกโดยบริษัทผู้เชี่ยวชาญที่ได้รับการรับรองและมักจะมีอายุระหว่างหนึ่งถึงสามปี สามารถรับใบรับประกันได้ระหว่างการตรวจสอบการปฏิบัติตามข้อกำหนดหรือการตรวจสอบการทำบัญชีโดยบุคลากรที่มีคุณสมบัติ การรับประกันมุ่งเน้นที่มุมมองการใช้งานอย่างต่อเนื่องมากกว่า ซึ่งหมายความว่าวงจรการตรวจสอบซ้ำจะสั้นลงมากเป็นทุกๆ 6 เดือน ตาม ISAE 3000 / 3402 นั้น กระบวนการตรวจสอบจะนำส่งหลักฐานของความเหมาะสมและประสิทธิภาพตลอดระยะเวลาที่ผ่านไป ใบรับรองสามารถรับรองได้เพียงช่วงเวลาสั้นๆ เท่านั้น

ทรัพยากร C5

Amazon Web Services: แนวทางปฏิบัติที่ดีที่สุดด้านการรักษาความปลอดภัย การระบุตัวตน และการปฏิบัติตามข้อกำหนด
Amazon Web Services: ความเสี่ยงและการปฏิบัติตามข้อกำหนด
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »